Eine Sicherheitslücke beim KI-Dienstleister Paradox, Anbieter der Recruiting-Plattform McHire, ermöglichte potenziell einfachsten Zugriff auf bis zu 64 Millionen Bewerberdaten für McDonald’s-Filialen weltweit. Ursache war ein unzureichend abgesicherter Testzugang mit Administratorrechten.

Eine schwerwiegende Schwachstelle in der Bewerbungsplattform McHire hat potenziell sensible Daten von Millionen McDonald’s-Bewerbern offengelegt. Sicherheitsforscher entdeckten, dass ein Admin-Zugang mit dem Standardkennwort »123456« offenstand – inklusive API-Zugriff auf reale Bewerberprofile.

McHire wird vom US-Dienstleister Paradox.ai bereitgestellt. Dreh- und Angelpunkt ist der KI-gestützte Chatbot »Olivia«, der Bewerber in mehreren Schritten durch den Prozess führt – inklusive Datenerfassung und Persönlichkeitstest.

Fehlende Absicherung im Testzugang

Die unabhängigen Security-Experten Ian Carroll und Sam Curry stießen auf eine Login-Seite für interne Paradox-Mitarbeiter unter mchire.com. Der Zugang war weder durch Zwei-Faktor-Authentifizierung noch durch ein sicheres Passwort geschützt. Stattdessen reichte der Standard-Login »123456« für Benutzername und Passwort, um sich mit Adminrechten in ein Testrestaurant einzuloggen. Den detaillierten Ablauf schildern Caroll und Curry in ihrem eigenen Blog.

Die Forscher durchliefen den Bewerbungsprozess selbst, sammelten technische Hinweise und analysierten die Plattform von beiden Seiten: als Bewerber und als angeblicher Arbeitgeber. Dabei fiel auf, dass das System auf vordefinierte Abläufe ausgelegt war und über eine unsichere API-Zugriffsstruktur verfügte.

Über die Testumgebung konnten Sicherheitsforscher gezielt Bewerber-IDs manipulieren, um auf Datensätze anderer Personen zuzugreifen. Die geschätzte Zahl der verfügbaren Profile liegt bei rund 64 Millionen. Die Daten enthielten Kontaktinformationen, Chat-Protokolle und Bewerbungsunterlagen.

Anzeige

API-Schwachstelle mit Zugriff auf Millionen von Profilen

Über die Schnittstelle PUT /api/lead/cem-xhr konnten Bewerberdaten über sogenannte lead_id-Werte abgefragt werden. Durch numerisches Herunterzählen war der Zugriff auf reale Profile möglich. Über die Testumgebung konnten Sicherheitsforscher gezielt Bewerber-IDs manipulieren, um auf Datensätze anderer Personen zuzugreifen.

Die Daten enthielten Kontaktinformationen, Chat-Protokolle und Bewerbungsunterlagen. Die geschätzte Zahl der verfügbaren Profile liegt bei rund 64 Millionen. Auch ein strukturierter Disclosure-Kanal fehlte – weder auf der Website noch im Impressum war ein Sicherheitskontakt benannt. Erst über inoffizielle Wege gelangten die Forscher an zuständige Stellen.

Lücke geschlossen – Fragen bleiben

Paradox schloss die Lücke kurz nach Eingang der Meldung bei der Fast-Food-Kette. In einem Blogeintrag erklärte das Unternehmen, dass es sich um einen Testzugang gehandelt habe, der versehentlich nicht entfernt worden sei. Nach aktuellem Kenntnisstand seien keine Daten durch Dritte exfiltriert worden. McDonald's verwies bei Nachfragen auf die Zuständigkeit des Dienstleisters.

Angreifer könnten diese Daten verwenden, um Phishing-Angriffe durchzuführen und etwa Kontoinformationen abzugreifen, wenn sie sich als Mitarbeiter von McDonald's ausgeben, die mehr Daten vor einer tatsächlichen Anstellung erfragen.

Der Vorfall zeigt, dass KI-gestützte HR-Plattformen hohe Anforderungen an Zugriffsschutz und Systemhärtung stellen. Zwar wurden keine gezielten Angriffe festgestellt, doch selbst temporäre Fehlkonfigurationen können bei skalierenden Systemen gravierende Auswirkungen haben. Für Unternehmen mit vielen, dezentralen Rekrutierungsvorgängen – wie im Fall McDonald’s – wird das Risikomanagement entlang der gesamten IT-Lieferkette immer bedeutender.